SlideShare a Scribd company logo

NIST SP 800-63C - Federation and Assertions (FINAL)

Nov Matake
Nov Matake

OIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」 https://www.jipdec.or.jp/topics/event/20171013.html

Technology
1 of 30
Download to read offline
NIST SP 800-63C - Federation and Assertions - Nov Matake
Nov Matake ❖ OpenID Foundation Japan ❖ 事務局長 ❖ エバンジェリスト ❖ 翻訳 WG リーダー ❖ #idcon 主催 ❖ OAuth.jp 管理人 ❖ YAuth.jp LLC 代表
800-63-3 より抜粋
Federation Assurance Level (FAL) ❖ Federation を利用する場合のみ関係してくる Assurance Level ❖ Federation における Assertion / Artifact の利用形態に関する要件を示す ❖ Lv.1 ❖ Assertion への署名が必須 ❖ Lv.2 ❖ Lv1 に加えて RP のみが複合可能な形で Assertion の暗号化が必須 ❖ Lv.3 ❖ Lv.2 に加えて Holder-of-Key Assertion の利用が必須 (Proof-of-Posession) ❖ Subscriber が所持する と Assertion が含む の参照の紐付け検証が必須
Terms ❖ Approved Cryptography ❖ FIPS 承認 or NIST Recommendation 指定/採用 ❖ Assertion の署名 / 暗号化に用いるアルゴリズムを指定 ❖ Assertion ❖ IdP 上での Authentication Event および Subscriber Attribute の情 報を含むひとかたまりのデータ ❖ e.g., OIDC ID Token / SAML Assertion ❖ Assertion Reference (Artifact) ❖ e.g., Authorization Code / SAML Artifact ref.) 800-63-3 Appendix A
Terms ❖ Attribute Value ❖ 完全な属性値 ❖ e.g., 1981.12.13 生まれ ❖ Attribute Reference (Attribute Claim) ❖ ある程度まるめられた (?) 属性値 ❖ e.g., 18歳以上, 12月生まれ ❖ Pairwise Pseudonymous Identifier (PPID) ❖ IdP-RP ペアごとに固有かつ推測不可能な仮名識別子 ref.) 800-63-3 Appendix A
800-63-3 を読んだ時点で すでに FAL は選択済…なはず
800-63C では各 FAL における要件を定義 …はそれほどしてない…
Requirements for FAL 1-3 FAL Assertion Signing Encryption Lv.1 Bearer Required Not Required Lv.2 Bearer Required Required Lv.3 Holder-of-Key Required Required
大部分は代表的実装パターンと パターンごとの要件をまとめたもの (FAL とは無関係)
Section Name Normative/Informative 1. Purpose Informative 2. Introduction Informative 3. Definitions and Abbreviations Informative 4. Federation Assurance Level (FAL) Normative 5. Federation Normative 6. Assertion Normative 7. Assertion Presentation Normative 8. Security Informative 9. Privacy Considerations Informative 10. Usability Considerations Informative 11. Examples Informative 12. References Informative
4. FAL ❖ FAL1 - 3 までの定義 ❖ Key Management ❖ IdP の ペアは全 RP 向けに共通でもいい ❖ RP と IdP の共通 は RP ごとに個別に発行 ❖ Runtime Decisions ❖ White List / Black List / Gray List ❖ 同意スキップ可能 / RP 利用禁止 / 同意必須 ❖ 同意の解除機能必須
5. Federation ❖ Manual Registration ❖ Dynamic Registration ❖ Federation Authority ❖ Trust Framework Provider などの Authority による審査を 通過すれば参加可能なモデル ❖ Proxied Federation ❖ IdP と RP の間に Proxy (Broker) が介在するモデル
Manual Reg. v.s. Dynamic Reg. ❖ Manual Registration ❖ White List を運用可能 ❖ White Listed RP にはユーザー同意をスキップ可能 ❖ Dynamic Registration ❖ White List は運用不可 ❖ 必ずユーザーの同意が必要
Federation Authority
Proxied Federation ❖ 末端の IdP と RP がお互いを知らなくてもいい ❖ IdP によるトラッキングを抑止する効果 ❖ PPID の生成は難しい ❖ Proxy には IdP と RP 両方の働きが求められる ❖ IdP と RP 両方の要件が課される
6. Assertion ❖ Common Metadata ❖ Subject, Issuer, Audience, 発行日時, 有効期限, 署名 etc. ❖ IAL と AAL も含めることを推奨 ❖ Assertion Bindings ❖ Bearer ❖ Holder-of-Key (Proof-of-Possession) ❖ Assertion Protection ❖ 署名, 暗号化, Audience Restriction, PPID etc.
Bearer v.s. Holder-of-Key
Bearer v.s. Holder-of-Key
Holder-of-Key ❖ [RFC 7800] Proof-of-Possession Key Semantics for JWTs ❖ https://tools.ietf.org/html/rfc7800 ❖ [draft] OpenID Connect Token Bound Authentication 1.0 ❖ http://openid.net/specs/openid-connect-token-bound- authentication-1_0.html ❖ SAML V2.0 Holder-of-Key Web Browser SSO Profile ❖ http://docs.oasis-open.org/security/saml/Post2.0/sstc- saml-holder-of-key-browser-sso.html
7. Assertion Presentation ❖ Back-Channel Presentation ❖ ブラウザには Assertion Reference (Artifact) が渡る ❖ Back-Channel で Artifact と Assertion を交換 ❖ e.g.,) OpenID Connect の Code Flow ❖ Front-Channel Presentation ❖ ブラウザーに直接 Assertion が渡る ❖ e.g.,) OpenID Connect の Implicit Flow
Back-Channel Presentation
Back-Channel Presentation ❖ Assertion Reference ❖ 特定の RP 以外には利用不可な仕組み必須 ❖ ワンタイム性必須 ❖ 有効期間は数秒∼数分程度を推奨 ❖ RP Authentication の実施を推奨 ❖ Channel ❖ Authenticated Protected Channel 必須 (e.g., TLS)
Front-Channel Presentation
Front-Channel Presentation ❖ Assertion ❖ 暗号化必須 (= FAL2 以上が必須) ❖ “素の” OpenID Connect Implicit Flow は利用不可 ❖ Channel ❖ Authenticated Protected Channel 必須 (e.g., TLS)
Protecting Information ❖ Authenticated Protected Channel (e.g., TLS) 必須 ❖ IdP <-> RP ❖ IdP <-> End-User ❖ RP <-> End-User ❖ API による Attribute へのアクセスの許容 ❖ UserInfo API 使ってもいいよ ❖ 可能な限り Attribute Reference を活用すること ❖ 「18歳以上」のみでよければ生年月日まで要求するな
素の OpenID Connect / SAML で対応可能か?
今後 OpenID Connect と SAML それぞれで Profile 作成が進む?
63C はリクエストへの署名には 言及しないがそれでいいのか?

Recommended

金融向けoへの認証の導入
金融向けoへの認証の導入 金融向けoへの認証の導入
金融向けoへの認証の導入FIDO Alliance
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020OpenID Foundation Japan
 
Tokbind-fido
Tokbind-fidoTokbind-fido
Tokbind-fidoKaoru Maeda
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説FIDO Alliance
 

Recommended

金融向けoへの認証の導入
金融向けoへの認証の導入 金融向けoへの認証の導入
金融向けoへの認証の導入FIDO Alliance
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020OpenID Foundation Japan
 
Tokbind-fido
Tokbind-fidoTokbind-fido
Tokbind-fidoKaoru Maeda
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説FIDO Alliance
 
トラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシートラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシーYusuke Kondo
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門Yahoo!デベロッパーネットワーク
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
Advancement of FIDO Technology
Advancement of FIDO TechnologyAdvancement of FIDO Technology
Advancement of FIDO TechnologyFIDO Alliance
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fidoHiroshiUeno15
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説Takashi Yahata
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホンYahoo!デベロッパーネットワーク
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FinTechLabs.io
 
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22Sami Maekawa
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
OAuthのHolder of Key Token
OAuthのHolder of Key TokenOAuthのHolder of Key Token
OAuthのHolder of Key TokenYuichi Nakamura
 
Nii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiNii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiFIDO Alliance
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介Daisuke Fuke
 
iKnow! API - introduction and sample applications
iKnow! API - introduction and sample applicationsiKnow! API - introduction and sample applications
iKnow! API - introduction and sample applicationsNov Matake
 
FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18Nov Matake
 

More Related Content

What's hot

トラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシートラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシーYusuke Kondo
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
Advancement of FIDO Technology
Advancement of FIDO TechnologyAdvancement of FIDO Technology
Advancement of FIDO TechnologyFIDO Alliance
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説Takashi Yahata
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FinTechLabs.io
 
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22Sami Maekawa
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
OAuthのHolder of Key Token
OAuthのHolder of Key TokenOAuthのHolder of Key Token
OAuthのHolder of Key TokenYuichi Nakamura
 
Nii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiNii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiFIDO Alliance
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介Daisuke Fuke
 

What's hot (20)

トラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシートラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシー
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
 
Advancement of FIDO Technology
Advancement of FIDO TechnologyAdvancement of FIDO Technology
Advancement of FIDO Technology
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fido
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホン
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
 
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
OAuthのHolder of Key Token
OAuthのHolder of Key TokenOAuthのHolder of Key Token
OAuthのHolder of Key Token
 
Nii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiNii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomi
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介
 

Viewers also liked

iKnow! API - introduction and sample applications
iKnow! API - introduction and sample applicationsiKnow! API - introduction and sample applications
iKnow! API - introduction and sample applicationsNov Matake
 
FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18Nov Matake
 
Account Chooser #idit2012
Account Chooser #idit2012Account Chooser #idit2012
Account Chooser #idit2012Nov Matake
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveNov Matake
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016Nov Matake
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13Nov Matake
 

Viewers also liked (6)

iKnow! API - introduction and sample applications
iKnow! API - introduction and sample applicationsiKnow! API - introduction and sample applications
iKnow! API - introduction and sample applications
 
FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18FIDO alliance #idcon vol.18
FIDO alliance #idcon vol.18
 
Account Chooser #idit2012
Account Chooser #idit2012Account Chooser #idit2012
Account Chooser #idit2012
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
 

More from Nov Matake

#idcon vol.29 - #fidcon WebAuthn, Next Stage
#idcon vol.29 - #fidcon WebAuthn, Next Stage#idcon vol.29 - #fidcon WebAuthn, Next Stage
#idcon vol.29 - #fidcon WebAuthn, Next StageNov Matake
 
FedCM - OpenID TechNight vol.19
FedCM - OpenID TechNight vol.19FedCM - OpenID TechNight vol.19
FedCM - OpenID TechNight vol.19Nov Matake
 
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...Nov Matake
 
Sign in with Apple
Sign in with Apple Sign in with Apple
Sign in with Apple Nov Matake
 
FIDO @ LINE - #idcon vol.24
FIDO @ LINE - #idcon vol.24FIDO @ LINE - #idcon vol.24
FIDO @ LINE - #idcon vol.24Nov Matake
 
W3C Web Authentication - #idcon vol.24
W3C Web Authentication - #idcon vol.24W3C Web Authentication - #idcon vol.24
W3C Web Authentication - #idcon vol.24Nov Matake
 
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22Nov Matake
 
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22Nov Matake
 
ID連携入門 (実習編) - Security Camp 2016
ID連携入門 (実習編) - Security Camp 2016ID連携入門 (実習編) - Security Camp 2016
ID連携入門 (実習編) - Security Camp 2016Nov Matake
 
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idconミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idconNov Matake
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11Nov Matake
 
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014Nov Matake
 
ID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-onID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-onNov Matake
 
JWT Translation #technight
JWT Translation #technightJWT Translation #technight
JWT Translation #technightNov Matake
 
MIT-KIT Intro at #idcon sattelite
MIT-KIT Intro at #idcon satteliteMIT-KIT Intro at #idcon sattelite
MIT-KIT Intro at #idcon satteliteNov Matake
 
Self isssued-idp
Self isssued-idpSelf isssued-idp
Self isssued-idpNov Matake
 
IIW 16th Report at #idcon
IIW 16th Report at #idconIIW 16th Report at #idcon
IIW 16th Report at #idconNov Matake
 
Whats wrong oauth_authn
Whats wrong oauth_authnWhats wrong oauth_authn
Whats wrong oauth_authnNov Matake
 
OAuth 2.0 #idit2012
OAuth 2.0 #idit2012OAuth 2.0 #idit2012
OAuth 2.0 #idit2012Nov Matake
 

More from Nov Matake (20)

#idcon vol.29 - #fidcon WebAuthn, Next Stage
#idcon vol.29 - #fidcon WebAuthn, Next Stage#idcon vol.29 - #fidcon WebAuthn, Next Stage
#idcon vol.29 - #fidcon WebAuthn, Next Stage
 
FedCM - OpenID TechNight vol.19
FedCM - OpenID TechNight vol.19FedCM - OpenID TechNight vol.19
FedCM - OpenID TechNight vol.19
 
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
 
Sign in with Apple
Sign in with Apple Sign in with Apple
Sign in with Apple
 
FIDO @ LINE - #idcon vol.24
FIDO @ LINE - #idcon vol.24FIDO @ LINE - #idcon vol.24
FIDO @ LINE - #idcon vol.24
 
W3C Web Authentication - #idcon vol.24
W3C Web Authentication - #idcon vol.24W3C Web Authentication - #idcon vol.24
W3C Web Authentication - #idcon vol.24
 
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
 
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
 
ID連携入門 (実習編) - Security Camp 2016
ID連携入門 (実習編) - Security Camp 2016ID連携入門 (実習編) - Security Camp 2016
ID連携入門 (実習編) - Security Camp 2016
 
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idconミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11
 
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
 
ID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-onID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-on
 
JWT Translation #technight
JWT Translation #technightJWT Translation #technight
JWT Translation #technight
 
MIT-KIT Intro at #idcon sattelite
MIT-KIT Intro at #idcon satteliteMIT-KIT Intro at #idcon sattelite
MIT-KIT Intro at #idcon sattelite
 
Self isssued-idp
Self isssued-idpSelf isssued-idp
Self isssued-idp
 
IIW 16th Report at #idcon
IIW 16th Report at #idconIIW 16th Report at #idcon
IIW 16th Report at #idcon
 
Whats wrong oauth_authn
Whats wrong oauth_authnWhats wrong oauth_authn
Whats wrong oauth_authn
 
OAuth 2.0 #idit2012
OAuth 2.0 #idit2012OAuth 2.0 #idit2012
OAuth 2.0 #idit2012
 

Recently uploaded

LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルCRI Japan, Inc.
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...atsushi061452
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizesatsushi061452
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)keikoitakurag
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。iPride Co., Ltd.
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)NTT DATA Technology & Innovation
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一瑛一 西口
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptxssuserbefd24
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdfAyachika Kitazaki
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptxyassun7010
 

Recently uploaded (11)

LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 

NIST SP 800-63C - Federation and Assertions (FINAL)

  • 1. NIST SP 800-63C - Federation and Assertions - Nov Matake
  • 2. Nov Matake ❖ OpenID Foundation Japan ❖ 事務局長 ❖ エバンジェリスト ❖ 翻訳 WG リーダー ❖ #idcon 主催 ❖ OAuth.jp 管理人 ❖ YAuth.jp LLC 代表
  • 4. Federation Assurance Level (FAL) ❖ Federation を利用する場合のみ関係してくる Assurance Level ❖ Federation における Assertion / Artifact の利用形態に関する要件を示す ❖ Lv.1 ❖ Assertion への署名が必須 ❖ Lv.2 ❖ Lv1 に加えて RP のみが複合可能な形で Assertion の暗号化が必須 ❖ Lv.3 ❖ Lv.2 に加えて Holder-of-Key Assertion の利用が必須 (Proof-of-Posession) ❖ Subscriber が所持する と Assertion が含む の参照の紐付け検証が必須
  • 5. Terms ❖ Approved Cryptography ❖ FIPS 承認 or NIST Recommendation 指定/採用 ❖ Assertion の署名 / 暗号化に用いるアルゴリズムを指定 ❖ Assertion ❖ IdP 上での Authentication Event および Subscriber Attribute の情 報を含むひとかたまりのデータ ❖ e.g., OIDC ID Token / SAML Assertion ❖ Assertion Reference (Artifact) ❖ e.g., Authorization Code / SAML Artifact ref.) 800-63-3 Appendix A
  • 6. Terms ❖ Attribute Value ❖ 完全な属性値 ❖ e.g., 1981.12.13 生まれ ❖ Attribute Reference (Attribute Claim) ❖ ある程度まるめられた (?) 属性値 ❖ e.g., 18歳以上, 12月生まれ ❖ Pairwise Pseudonymous Identifier (PPID) ❖ IdP-RP ペアごとに固有かつ推測不可能な仮名識別子 ref.) 800-63-3 Appendix A
  • 7.
  • 9. 800-63C では各 FAL における要件を定義 …はそれほどしてない…
  • 10. Requirements for FAL 1-3 FAL Assertion Signing Encryption Lv.1 Bearer Required Not Required Lv.2 Bearer Required Required Lv.3 Holder-of-Key Required Required
  • 12. Section Name Normative/Informative 1. Purpose Informative 2. Introduction Informative 3. Definitions and Abbreviations Informative 4. Federation Assurance Level (FAL) Normative 5. Federation Normative 6. Assertion Normative 7. Assertion Presentation Normative 8. Security Informative 9. Privacy Considerations Informative 10. Usability Considerations Informative 11. Examples Informative 12. References Informative
  • 13. 4. FAL ❖ FAL1 - 3 までの定義 ❖ Key Management ❖ IdP の ペアは全 RP 向けに共通でもいい ❖ RP と IdP の共通 は RP ごとに個別に発行 ❖ Runtime Decisions ❖ White List / Black List / Gray List ❖ 同意スキップ可能 / RP 利用禁止 / 同意必須 ❖ 同意の解除機能必須
  • 14. 5. Federation ❖ Manual Registration ❖ Dynamic Registration ❖ Federation Authority ❖ Trust Framework Provider などの Authority による審査を 通過すれば参加可能なモデル ❖ Proxied Federation ❖ IdP と RP の間に Proxy (Broker) が介在するモデル
  • 15. Manual Reg. v.s. Dynamic Reg. ❖ Manual Registration ❖ White List を運用可能 ❖ White Listed RP にはユーザー同意をスキップ可能 ❖ Dynamic Registration ❖ White List は運用不可 ❖ 必ずユーザーの同意が必要
  • 17. Proxied Federation ❖ 末端の IdP と RP がお互いを知らなくてもいい ❖ IdP によるトラッキングを抑止する効果 ❖ PPID の生成は難しい ❖ Proxy には IdP と RP 両方の働きが求められる ❖ IdP と RP 両方の要件が課される
  • 18. 6. Assertion ❖ Common Metadata ❖ Subject, Issuer, Audience, 発行日時, 有効期限, 署名 etc. ❖ IAL と AAL も含めることを推奨 ❖ Assertion Bindings ❖ Bearer ❖ Holder-of-Key (Proof-of-Possession) ❖ Assertion Protection ❖ 署名, 暗号化, Audience Restriction, PPID etc.
  • 21. Holder-of-Key ❖ [RFC 7800] Proof-of-Possession Key Semantics for JWTs ❖ https://tools.ietf.org/html/rfc7800 ❖ [draft] OpenID Connect Token Bound Authentication 1.0 ❖ http://openid.net/specs/openid-connect-token-bound- authentication-1_0.html ❖ SAML V2.0 Holder-of-Key Web Browser SSO Profile ❖ http://docs.oasis-open.org/security/saml/Post2.0/sstc- saml-holder-of-key-browser-sso.html
  • 22. 7. Assertion Presentation ❖ Back-Channel Presentation ❖ ブラウザには Assertion Reference (Artifact) が渡る ❖ Back-Channel で Artifact と Assertion を交換 ❖ e.g.,) OpenID Connect の Code Flow ❖ Front-Channel Presentation ❖ ブラウザーに直接 Assertion が渡る ❖ e.g.,) OpenID Connect の Implicit Flow
  • 24. Back-Channel Presentation ❖ Assertion Reference ❖ 特定の RP 以外には利用不可な仕組み必須 ❖ ワンタイム性必須 ❖ 有効期間は数秒∼数分程度を推奨 ❖ RP Authentication の実施を推奨 ❖ Channel ❖ Authenticated Protected Channel 必須 (e.g., TLS)
  • 26. Front-Channel Presentation ❖ Assertion ❖ 暗号化必須 (= FAL2 以上が必須) ❖ “素の” OpenID Connect Implicit Flow は利用不可 ❖ Channel ❖ Authenticated Protected Channel 必須 (e.g., TLS)
  • 27. Protecting Information ❖ Authenticated Protected Channel (e.g., TLS) 必須 ❖ IdP <-> RP ❖ IdP <-> End-User ❖ RP <-> End-User ❖ API による Attribute へのアクセスの許容 ❖ UserInfo API 使ってもいいよ ❖ 可能な限り Attribute Reference を活用すること ❖ 「18歳以上」のみでよければ生年月日まで要求するな
  • 28. 素の OpenID Connect / SAML で対応可能か?
  • 29. 今後 OpenID Connect と SAML それぞれで Profile 作成が進む?